Поделиться«Коктейли Молотова» кибермошенников летят в петербургские офисы DrWEB. Никакого экстремизма, только серьезный бизнес. Разработка компьютерной защиты от хищений в банкоматах перевела соревнование талантов в сфере IT из виртуального мира в подворотню. Следы заказчика ведут в Верховную раду. Силы преступного синдиката напоминают о Дарте Вейдере.
«Коктейли Молотова» кибермошенников летят в петербургские офисы DrWEB. Никакого экстремизма, только серьезный бизнес. Разработка компьютерной защиты от хищений в банкоматах перевела соревнование талантов в сфере IT из виртуального мира в подворотню. Следы заказчика ведут в Верховную раду. Силы преступного синдиката напоминают о Дарте Вейдере.
Офис DrWEB в бизнес-центре «Лангензипен» на Двинской улице, 1, поджигали дважды. В конце декабря, после того, как на окна была наклеена бронепленка, неизвестные, вооружившись арматурой, разгромили пристройку к бизнес-центру.
О неприятностях в DrWEB знали заранее. Офисы DrWEB начали гореть весной 2014 года. Через пять месяцев после того, как на официальном сайте компании была опубликована новость: эксперты выявили распространение новой троянской программы — вредоносного приложения, поражающего банкоматы. Инфицированный банкомат начинал передавать злоумышленникам данные обработанных банковских карт, включая PIN-код. Цитата: «Сигнатура вируса добавлена в вирусные базы, данная вредоносная программа успешно обнаруживается и удаляется антивирусным ПО Dr.Web».
Письмо от «международного синдиката кардеров», поступившее неделю спустя по известным электронным адресам DrWEB, в компании игнорировали. Стиль и грамотность не располагали к серьезному отношению.
«ПРЕДУПРЕЖДЕНИЕ !!!
От лица Cиндиката поздравляем с успешным дизасемблированием програмного скимера банкоматов NCR . Исходник авторов прилагаются ниже.
Хорошая работа, но безперспективная. Прибыль от Dr.Web_ATM_shield копеечная посколько банкиры добровольно деньги никогда не отдают. Однако развитие Dr.Web_ATM_shield подрывает деятельность Синдиката с много милионной прибылью. Сотни криминальных семей по всему миру могут остаться без дохода.
У вас НЕДЕЛЯ убрать все упоминания о ATM.Skimmer c вашего web ресурса. Иначе синдикат остановит операции обналички и отправит весь криминалитет за головами ваших программистов. Финал ООО DrWeb будет трагичен».
В марте 2014 года загорелся офис фирмы «САЛД», которая является распространителем программных продуктов DrWEB. «Бросали «коктейль Молотова». Когда окна закрыли щитами, заливали горючую жидкость в вентиляцию и поджигали. Одна попытка была удачной», – вспоминают в компании. Второе электронное обращение с карикатурной подписью «международного синдиката» читали внимательнее.
«Уважаемый Dr.WEB, международный синдикат кардеров предупреждал вас о недопустимости вашего вмешательства в сферу ATM. В связи с тем что вы проигнорировали требования синдиката – в отношении вас были применены санкции. Да бы подчеркнуть целеустремленность синдиката – ваш офисна ул. Благодатная был сожжен дважды.
Если в течении 10 дней вы не уберете из ваших продуктов все упоминания о вирусах класса atmskimmer и все продукты для ATM – международный синдикат кардеров уничтожит все ваши офисы по всему миру, Так же синдикат пролобирует закон о запрете использования русских антивирусов во всех странах имеющих представительства синдиката , под предлогом защиты от не-дружественых всему миру российских спецслужб.
Входящие письма на данном e-mai проверяется, разумные аргументы спора будут учтены».
DrWEB ответил публично.
«Компания «Доктор Веб» считает своим долгом обеспечение максимальной защиты пользователей от посягательств киберпреступников. Соответственно, работы, направленные на выявление и изучение угроз для банкоматов, будут продолжены, равно как и дальнейшее совершенствование продукта», – говорится в сообщении компании.
Был запущен проект «На карте – ваши деньги!», рассказывающий о способах противостояния киберпреступникам.
Ответом от виртуального оппонента стали бутылки с горючей смесью, которые полетели в офис DrWEB в бизнес-центре «Лангензипен».
Какому франчайзингу мешает DrWEB
Журналисты спросили специалистов из отдела «К». Специалисты нарисовали схему. Классическая организация. Для функционирования системы достаточно одного талантливого человека, который может создать вирус.
Следующий уровень — управленческий. Менеджеры должны обеспечить сбыт продукта и обратную связь с исполнителями-«дропами». Представление о собственном продукте иметь должны — на уровне торгового представителя.
Внизу конечный пользователь. Тот, кто платит деньги за вирус и с его помощью громит банкоматы.
Остальным достаточно знать, к какому разъему подключать флешку и какую примитивную команду набирать на клавиатуре.
«Основных способов два, – объяснил собеседник «Фонтанки», – либо деньги, либо данные. Данные — выгоднее».
В первом случае к облюбованному банкомату прибывает типичный механик в спецовке с логотипом соответствующего банка. Открывает технологическую панель (запорное устройство которой не принципиально отличается от замка почтового ящика), подключает к ней через разъем планшет. Что-то сверяет на глазах у посетителей и охраны какого-нибудь торгового центра. Затем уходит. Всё – вирус поселился в банкомате. Он может непосредственно управлять механикой, отвечающей за выдачу купюр. Через некоторое время к тому же банкомату подойдет неприметный человек, лицо которого будет закрыто шарфом и большой кепкой, делающими бесполезными камеры наблюдения. Имитируя процесс получения денег по обычной карте, мужчина вставит или сделает вид, что вставит что-то в картоприемник. На самом деле цифры, которые он наберет на клавиатуре, будут не PIN-кодом, а командой зараженному аппарату на выдачу наличности — вплоть до выбора номинала купюр.
Группа гастролеров по такой схеме работала в Петербурге с мая по июль 2014 года. Известны 12 эпизодов — это те случаи, когда банкиры дошли до полицейских с официальным заявлением. Средний чек — 5 000 000 рублей. Рекорд — 9 200 000 рублей. Установить группу гостей из Молдавии помогли исключительные интеллектуальные способности одного из жуликов — имитируя получение денег по карте, незадачливый расхититель подставил под глазок видеокамеры собственную легальную банковскую карту. Розыск получил хоть что-то, спустя два месяца жуликов удалось задержать в Екатеринбурге.
При работе по второй схеме нет нужды и в артистических способностях. Обычный посетитель, подойдя к банкомату, вставляет в картоприемник карту — но не банковскую. Вирус с карты поселяется в банкомате. После чего любой, владеющий соответствующей мастер-картой, может многое. Как установили специалисты DrWEB, он «может «вылечить» инфицированную систему банкомата, вывести на экран статистику по похищенным данным, удалить файл журнала, перезагрузить банкомат, изменить режим своей работы или обновить свою версию (либо только вредоносную библиотеку), запустив соответствующее приложение, которое считывается с чипа мастер-карты. При этом процедуру обновления вирусописатели визуализировали при помощи аппаратных индикаторов считывателя банковской карты и демонстрируемого на дисплее банкомата индикатора процесса. Похищенные троянцем данные также записываются по команде «оператора» на чип мастер-карты.
Научить «работать» с флешкой или картой можно любого. Написать или изменить для неё программу может только один. Кто заплатит денег — через «менеджера» получит программу. Но через месяц «карета превратится в тыкву» и программа перестанет работать, запросив подтверждающий код, который можно получить, внеся очередной ежемесячный «налог». Вариантов обмануть нет — коды в руках у главного, а тот, кто мог бы взломать его программу, и так не нуждается в помощи. Но таких немного, и они не идут в «дропы».
Место Темного Лорда
Мнения специалистов полиции и антивирусной компании сошлись. Сегодня инициатор физического насилия из виртуального мира недостижим. Эксперты убеждены, что центр, из которого распространяются банковские вирусы, находится в Киеве. Если в лучшие времена не только россиянам, но и федеральным следователям США не всегда удавалось добиться результата в украинских судах, то сегодня и вовсе перспективы сотрудничества с украинской службой безопасности не просматриваются.
Журналистам посоветовали вспомнить историю десятилетней давности. В 2004 году Федеральное бюро расследований и Почтовая инспекция США добились экстрадиции с Кипра и осуждения украинца Романа Вега, известного также под англоязычным псевдонимом Boa (Удав). В результате длительного следствия и нескольких судебных процессов американское правосудие установило, что Вега причастен к администрированию хакерских сайтов Boa Factory и CapderPlanet, являвшихся площадкой для купли-продажи дампов кредитных карт, фальсифицированных карт, оборудования для его изготовления и общения кардеров с целью обмена опытом. В декабре 2013 года он получил окончательный приговор — 18 лет лишения свободы. На свободе остался Дмитрий Голубов, человек, которого Почтовая служба США считает основателем и администратором CapderPlanet, виртуальной площадки, на которой работало около 7000 кардеров.
О Дмитрии Голубове — десятки публикаций в украинской и российской прессе. Он родился в Одессе в 1983 году. Первую фирму по ремонту и настройке компьютеров организовал в 16-летнем возрасте. В 22 года по запросу американских следователей был задержан управлением по борьбе с организованной преступностью по подозрению в масштабном кибермошенничестве. Срок наказания по предъявленным обвинениям мог достигнуть 12 лет, и арестованного поместили в знаменитое Лукьяновское СИЗО в Киеве. Спустя полгода Голубов был передан на поруки двум народным депутатам от Партии регионов, которые внесли за него залог. Соломенский суд города Киева вынес оправдательный приговор, постановив, что Голубов ни в чем не виновен. В 2009 году Дмитрий Голубов стал председателем созданной им Интернет-партии Украины (той самой, которая выдвинула кандидатом в президенты Дарта Вейдера). В октябре 2014 года был избран депутатом Верховной рады по списку Блока Петра Порошенко.
Пора в окопы
«Это вопрос самоуважения и репутации, – уверен владелец и технический директор DrWEB Игорь Данилов, – мы не можем себе позволить признать ультиматум». При этом признавая, что в одном кардеры правы — прибыль от реализации антивирусного продукта для банкоматов составляет мизерную долю в структуре доходов компании. Но репутация — тоже актив. И потеря лица недопустима.
«С той стороны — очень молодые люди, которые криминальным путем получили миллионы долларов и решили, что им можно все. Вечное соревнование щита и меча. Замка и отмычки. Они не хотят включать интеллект. Они просто говорят: «Не надо вешать на амбар замок, мы не умеем воровать из-под замка. Это абсурд», – недоумевает Игорь Данилов. И готовится в случае эскалации конфликта оборудовать офисы колючей проволокой и бетонными надолбами.
Денис Коротков,
Евгений Вышенков,
«Фонтанка.ру»
